A río revuelto, ganancia de pescadores. Como ocurre en el mundo salvaje, en general los ciberdelincuentes aprovechan eventos masivos online para echar a correr sus herramientas de phishing y derivados. Esto les permite aprovechar el mayor número de usuarios y, en un juego casi estadístico, esperar que alguno caiga en la trampa.
Eso mismo ocurrió los días en torno al Amazon Prime Day 2021, evento de ciberofertas del popular marketplace que fue monitoreado por Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. y que detectó un aumento de la actividad maliciosa en el período previo al evento, realizado el 21 de junio recién pasado.
Según el informe, el escaneo al incremento de la actividad maliciosa en el período previo al Amazon Prime Day 2021 reveló que cerca del 80% de los dominios que contienen la palabra “Amazon” eran potencialmente peligrosos, 46% de frentón maliciosos y el 32% restante considerados sospechosos.
Además, Check Point Research ha descubierto que el 32% de las URL registradas con los términos “Amazon Prime” son fraudulentas. En el transcurso del último mes, se registraron más de 2.303 nuevos dominios relacionados con el gigante del ecommerce, en comparación con los 2.137 de 2020.
¿Cual es la idea? En corto, suplantar los dominios para robar datos confidenciales a los usuarios, desviándolos del tráfico online a sitios web que contienen malware o que les solicitan que proporcionen información de identificación personal. En este caso, los ciberdelincuentes pretenden esconderse detrás de la marca Amazon y poder acceder a los compradores con correos electrónicos que incitan al destinatario a hacer clic en un enlace malicioso o responder con información sensible.
Ejemplo
Un ejemplo de phishing, supuestamente enviado por el “Servicio de Atención al Cliente” de Amazon, fue identificado por Check Point. El correo electrónico pide al usuario que verifique su cuenta. Se ha determinado que el email nunca fue enviado por la empresa suplantada, sino que es un claro ataque de phishing por parte de (admin@fuseiseikyu-hl[.]jp). En este caso, los atacantes intentaban atraer a las víctimas para que hicieran clic en un enlace malicioso que redirige al usuario a un enlace distinto, y que ahora está inactivo.
